Tilsynsmyndighed - kompetencer og opgaver

Denne - bid to - af gennemtygningen af forordningens artikler omhandlende tilsynsmyndigheder, har fokus på de artikler, der omhandler kompetencerne og opgaverne, der er lagt i hænderne på tilsynsmyndighederne i de enkelte nationalstater.

Kompetencer

Tilsynsmyndigheden (herefter blot myndigheden) er "kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område."

Myndigheden "er ikke kompetente til at føre tilsyn med domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol." Det har, for mig at se, den konsekvens, at domstolene reelt ikke kommer til at indføre forordningen; eller?

Den ledende tilsynsmyndigheds kompetence

Forordningen har nedfældet ansvarsfordelingen mellem tilsynsvirksomheder, når der er tale om en dataansvarlig og eller databehandler(e) som behandler personoplysninger, der i kraft af behandlingen betragtes som grænseoverskridende.

Det betyder blot, helt konkret, at en bruger eksempelvis kan oplyse om sit CPR nummer i Danmark, men oplysningen bearbejdes i Frankrig, og gemmes i Finland - og at der i sådanne tilfælde er en tilsynsmyndighed som er ledende; den myndighed som er udpeget i den medlemsstat, hvor den dataansvarlige har sit hovedsæde.

"Enhver tilsynsmyndighed [er] kompetent til at behandle en indgivet klage eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat."

Den ledende tilsynsmyndighed skal underrettes af den/de andre myndigheder, som (i andre medlemsstater) behandler indgivne klager, den kan beslutte selv at behandle sagen.

Den ledende tilsynsmyndighed er "den dataansvarliges eller databehandlerens eneste kontakt i forbindelse med den grænseoverskridende behandling...".

Opgaver

Myndigheden skal efter forordningen blandt andet:

  • føre tilsyn med og håndhæve anvendelsen af denne forordning
  • fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn
  • rådgive det nationale parlament, regeringen og andre institutioner
  • fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning
  • efter anmodning informere registrerede om udøvelse af deres rettigheder i henhold til denne forordning
  • behandle klager
  • undersøge genstanden
  • underrette klageren om forløbet og resultatet af undersøgelsen
  • samarbejde med andre tilsynsmyndigheder
  • gennemføre undersøgelser om anvendelsen af denne forordning
  • holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger
  • vedtage standardkontraktbestemmelser
  • opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse[1]
  • rådgive om behandlingsaktiviteter
  • tilskynde til udarbejdelse af adfærdskodekser
  • afgive udtalelse om og godkende sådanne adfærdskodekser
  • tilskynde til fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker
  • godkende kriterierne for certificering
  • regelmæssigt gennemgå certificeringer
  • opstille og offentliggøre kriterierne for akkreditering af et organ til kontrol af adfærdskodekser...og af et certificeringsorgan
  • foretage akkreditering af et organ til kontrol af adfærdskodekser... og af et certificeringsorgan
  • godkende kontraktbestemmelser
  • godkende bindende virksomhedsregler
  • bidrage til Databeskyttelsesrådets aktiviteter
  • føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger
  • udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger.

Undersøgende beføjelser

I forbindelse med varetagelsen af de nævnte opgaver har myndigheden en række beføjelser til:

  • at give påbud om at bistå med alle nødvendige oplysninger (til dataansvarlige, databehandlere, samt eventuelle repræsentanter påbud)
  • at foretage undersøgelser i form af databeskyttelsesrevisioner
  • at foretage en revision af certificeringer
  • at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning
  • at få adgang til alle personoplysninger og oplysninger (hos den dataansvarlige eller databehandleren)
  • at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler,

Denne sidste beføjelse er en meget vidtrækkende beføjelse, som i min bedømmelse må svare til den, politi og anden efterretningsvæsen har. Hvorvidt myndigheden skal indhente en dommerkendelse forud for en sådan (tiltvungen) adgang står ikke klart for mig!

Korrigerende beføjelser

Myndigheden har muligheden for at lade sine undersøgelser får en række konsekvenser, som blandt andre omfatter muligheden for

  • at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning
  • at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning
  • at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning
  • at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist
  • at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden
  • midlertidigt eller definitivt at begrænse, herunder forbyde, behandling
  • at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19
  • at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certificering, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt
  • at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og
  • at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.

Godkendelses- og rådgivningsbeføjelser

I rådgivnings- og samarbejdsøjemed har myndigheden desuden en række beføjelser til at godkende hhv rådgive

  • at rådgive den dataansvarlige
  • at afgive udtalelser til det nationale parlament, medlemsstatens regering, til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger
  • at godkende en behandling[2]
  • at afgive udtalelse og godkende forslag til adfærdskodekser
  • at akkreditere certificeringsorganer
  • at udstede certificeringer og godkende kriterier for certificering
  • at vedtage standardbestemmelser om databeskyttelse
  • at godkende kontraktbestemmelser
  • at godkende administrative ordninger
  • at godkende bindende virksomhedsregler

Aktivitetsrapport

Endelig skal myndigheden hvert år udarbejde en rapport om sit virke. "Disse rapporter fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget efter medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyttelsesrådet."


  1. det er Artikel 35, som vi senere skal gå meget i detaljer med ↩︎

  2. særlige behandlinger, hvor en forudgående godkendelse er påkrævet i henhold til den pågældende medlemsstats nationale ret ↩︎